Une attaque de type « homme du milieu » est difficile à identifier et à défendre. Les attaques MITM dépendent du contrôle des lignes de communication entre les personnes, les ordinateurs ou les serveurs. Les attaques de type « Man-in-the-middle » ne nécessitent pas toujours un ordinateur infecté, ce qui signifie qu’il existe plusieurs voies d’attaque.

Alors, qu’est-ce qu’une attaque d’homme du milieu, et comment pouvez-vous vous empêcher d’en être la proie?

Qu’est-ce qu’une attaque de l’homme du milieu?

Les attaques de l’homme du milieu (MITM) existaient avant les ordinateurs. Ce type d’attaque implique un attaquant qui s’insère entre deux parties communiquant entre elles. Les attaques de type «  homme du milieu  » sont essentiellement des attaques d’espionnage.

Pour mieux comprendre le fonctionnement d’une attaque de type « man-in-the-middle », considérez les deux exemples suivants.

Attaque d’homme du milieu hors ligne

Une attaque MITM hors ligne semble basique mais est toujours utilisée dans le monde entier.

Par exemple, quelqu’un intercepte votre message, le lit, le reconditionne, puis l’envoie à vous ou à votre destinataire d’origine. Ensuite, la même chose se produit en sens inverse lorsque la personne vous répond, l’homme du milieu interceptant et lisant votre courrier dans chaque direction.

Correctement effectué, vous ne saurez pas qu’une attaque MITM est en cours car l’interception et le vol de données vous sont invisibles.

La prise en charge d’un canal de communication entre deux participants est au cœur d’une attaque de type « man-in-the-middle ».

Cela ouvre également d’autres voies de tromperie pour l’attaquant. Si l’attaquant contrôle les moyens de communication, il pourrait modifier les messages en transit. Dans notre exemple, quelqu’un intercepte et lit le courrier. La même personne pourrait modifier le contenu de votre message pour demander quelque chose de spécifique ou faire une demande dans le cadre de son attaque.

Comme le MITM contrôle votre communication, il peut alors supprimer toute référence ultérieure à la question ou à la demande, ne vous laissant pas plus sage.

Attaque de l’homme au milieu en ligne

Une attaque d’intermédiaire en ligne fonctionne à peu près de la même manière, bien qu’avec des ordinateurs ou d’autres matériels numériques à la place de l’ancien courrier postal.

Une variante d’attaque MITM tourne autour de votre connexion au Wi-Fi public gratuit dans un café. Une fois connecté, vous essayez de vous connecter au site Web de votre banque.

Dans le cadre de notre exemple, vous rencontrez alors une erreur de certificat vous informant que le site Web de la banque ne dispose pas du certificat de cryptage approprié. Cela vous avertit du fait que quelque chose ne va pas avec la configuration du site Web de la banque et qu’une attaque MITM est en cours.

Connexes: Qu’est-ce qu’un certificat de sécurité de site Web?

Cependant, de nombreuses personnes cliquent simplement sur ce message d’erreur et accèdent au site Web de la banque. Vous vous connectez au portail bancaire, envoyez de l’argent, payez des factures et tout semble aller bien.

En réalité, un attaquant peut avoir mis en place un faux serveur et site Web qui imite votre banque. Lorsque vous vous connectez au faux serveur de la banque, il récupère la page Web de la banque, la modifie un peu et vous la présente. Vous entrez vos informations de connexion normalement, et ces informations sont envoyées au serveur man-in-the-middle.

Le serveur MITM vous connecte toujours à la banque et présente la page comme d’habitude. Mais le serveur man-in-the-middle de l’attaquant a capturé vos informations de connexion, prêtes à être exploitées.

Dans ce scénario, le message d’avertissement précoce était l’erreur de certificat de chiffrement indiquant que la configuration du site Web n’est pas correcte. Le serveur man-in-the-middle n’a pas le même certificat de sécurité que votre banque – bien qu’il puisse avoir un certificat de sécurité d’ailleurs.

En relation :  Configurer l'accès Internet sans fil sur un ordinateur portable Windows via un téléphone portable

Types d’attaques de l’homme du milieu

Il existe plusieurs types d’attaques MITM:

  • Usurpation Wi-Fi: Un attaquant peut créer un faux point d’accès Wi-Fi portant le même nom qu’une option Wi-Fi gratuite locale. Par exemple, dans un café, l’attaquant peut imiter le nom du Wi-Fi ou créer une fausse option nommée « Guest Wi-Fi » ou similaire. Une fois que vous vous êtes connecté au point d’accès non autorisé, l’attaquant peut surveiller votre activité en ligne.
  • Usurpation HTTPS: L’attaquant trompe votre navigateur en lui faisant croire que vous utilisez un site Web de confiance, redirigeant votre trafic vers un site Web non sécurisé à la place. Lorsque vous entrez vos informations d’identification, l’attaquant les vole.
  • Détournement SSL: Lorsque vous essayez de vous connecter à un site HTTP non sécurisé, votre navigateur peut vous rediriger vers l’option HTTPS sécurisée. Cependant, les attaquants peuvent détourner la procédure de redirection, placer un lien vers leur serveur au milieu, voler vos données et toutes les informations d’identification que vous entrez.
  • Usurpation DNS: Le système de noms de domaine vous aide à naviguer sur Internet, transformant les URL de votre barre d’adresse du texte lisible par l’homme en adresses IP lisibles par ordinateur. Une usurpation DNS oblige donc votre navigateur à visiter une adresse spécifique sous le contrôle d’un attaquant.
  • Détournement d’e-mails: Si un attaquant accède à la boîte aux lettres, ou même à un serveur de messagerie, d’une institution de confiance (telle qu’une banque), il pourrait intercepter les e-mails des clients contenant des informations sensibles ou même commencer à envoyer des e-mails en tant qu’institution elle-même.

Ce ne sont pas les seules attaques MITM. Il existe de nombreuses variantes qui combinent différents aspects de ces attaques.

En relation: Les raisons pour lesquelles votre site Web a besoin d’un certificat SSL

HTTPS arrête-t-il les attaques de l’homme du milieu?

Le scénario ci-dessus se déroule sur un site Web bancaire qui utilise HTTPS, la version sécurisée de HTTP. En tant que tel, l’utilisateur rencontre un écran indiquant que le certificat de cryptage est incorrect. Presque tous les sites Web utilisent désormais HTTPS, que vous pouvez voir représenté par une icône de cadenas dans la barre d’adresse, à côté de l’URL.

Pendant longtemps, seuls les sites diffusant des informations sensibles ont été invités à utiliser HTTPS. La norme a maintenant changé, d’autant plus que Google a annoncé qu’il utiliserait HTTPS comme signal de classement SEO. En 2014, lorsque le changement a été annoncé pour la première fois, entre 1 et 2% des 1 million de sites les plus importants dans le monde utilisaient HTTPS. En 2018, ce nombre avait grimpé en flèche, avec plus de 50% des premiers millions mettant en œuvre HTTPS.

En utilisant une connexion HTTP standard sur un site Web non chiffré, vous ne recevrez pas l’avertissement de notre exemple. L’attaque de l’homme du milieu aurait lieu sans aucun avertissement.

Alors, HTTPS protège-t-il contre les attaques MITM?

MITM et SSLStrip

Oui, HTTPS protège contre les attaques man-in-the-middle. Mais il existe des moyens par lesquels les attaquants peuvent vaincre HTTPS, en supprimant la sécurité supplémentaire offerte à votre connexion via le cryptage.

SSLStrip est une attaque d’intermédiaire qui oblige le navigateur à rester en mode HTTP plutôt que de commencer à utiliser HTTPS s’il est disponible. Plutôt que d’utiliser HTTPS, SSLStrip «supprime» la sécurité, vous laissant avec un simple HTTP ancien.

Vous pourriez même ne pas remarquer que quelque chose ne va pas. Dans les jours qui ont précédé la mise en œuvre de la grande croix rouge dans votre barre d’adresse par Google Chrome et d’autres navigateurs pour vous informer que vous utilisez une connexion non sécurisée, SSLStrip a fait de nombreuses victimes. L’introduction du cadenas HTTPS géant permet certainement de repérer plus facilement si vous utilisez ou non HTTPS.

Une autre mise à niveau de sécurité a également nui à l’efficacité de SSLStrip: HTTP Strict Transport Security.

En relation :  Qu'est-ce qu'un lit intelligent et en avez-vous besoin?

HTTP Strict Transport Security (HSTS) a été développé pour se protéger contre les attaques de type « man-in-the-middle », en particulier les attaques de rétrogradation de protocole comme SSLStrip. HSTS est une fonction spéciale qui permet à un serveur Web de forcer tous les utilisateurs à interagir avec lui uniquement en utilisant HTTPS.

Cela ne veut pas dire que cela fonctionne tout le temps, car HSTS ne se configure qu’avec l’utilisateur après sa première visite. En tant que tel, il existe une très petite fenêtre où un attaquant pourrait théoriquement utiliser une attaque MITM comme SSLStrip avant que HSTS ne soit en place.

Ce n’est pas tout. La légère disparition de SSLStrip a cédé la place à d’autres outils modernes qui combinent de nombreux types d’attaques MITM dans un seul package.

Logiciel malveillant MITM

Les utilisateurs doivent également faire face à des variantes de logiciels malveillants qui utilisent des attaques MITM ou qui sont livrées avec des modules d’intermédiaire. Par exemple, certains types de logiciels malveillants qui ciblent les utilisateurs d’Android, tels que SpyEye et ZeuS, permettent à un attaquant d’écouter les communications entrantes et sortantes du smartphone.

Une fois installé sur un appareil Android, un attaquant peut utiliser le malware pour intercepter toutes sortes de communications. Les codes d’authentification à deux facteurs sont particulièrement intéressants. Un attaquant peut demander le code d’authentification à deux facteurs sur un site Web sécurisé, puis l’intercepter avant que l’utilisateur ne puisse réagir ou même comprendre ce qui se passe.

Comme vous vous en doutez, les ordinateurs de bureau ne sont pas non plus exempts de menaces. Il existe de nombreux types de logiciels malveillants et des kits d’exploitation conçus pour les attaques de type « man-in-the-middle ». Et c’est sans mentionner que Lenovo a installé des logiciels malveillants compatibles SSLStrip sur leurs ordinateurs portables avant l’expédition.

Comment se protéger contre une attaque de l’homme du milieu?

Une attaque de type «homme du milieu» est difficile à défendre. Un attaquant a tellement d’options, ce qui signifie que la protection contre une attaque MITM est multiple.

  • Utilisez HTTPS: Assurez-vous que chaque site Web que vous visitez utilise HTTPS. Nous avons parlé des logiciels malveillants SSLStrip et MITM, mais s’assurer que HTTPS est en place reste l’une des meilleures options de défense. Pour une couche de protection supplémentaire, pensez à télécharger et à installer l’Electronic Frontier Foundation HTTPS partout extension de navigateur, l’une des meilleures extensions de confidentialité pour Google Chrome.
  • N’ignorez pas les avertissements: Si votre navigateur vous informe qu’il y a un problème avec le site Web que vous visitez, fais-lui confiance. Un avertissement de certificat de sécurité peut faire la différence entre offrir vos informations d’identification à un attaquant et rester en sécurité.
  • N’utilisez pas le Wi-Fi public: Si vous pouvez l’aider, n’utilisez pas le Wi-Fi public. Parfois, l’utilisation du Wi-Fi public ne peut tout simplement pas être évitée. Si vous devez utiliser une connexion Wi-Fi publique, vous devez télécharger et installer un VPN pour ajouter une certaine sécurité à votre connexion. De plus, gardez un œil sur les avertissements de sécurité du navigateur lorsque vous utilisez une connexion Wi-Fi publique. Si le nombre d’avertissements du navigateur augmente soudainement, cela peut indiquer une attaque ou une vulnérabilité MITM.
  • Exécutez et mettez à jour le logiciel antivirus: Assurez-vous que votre logiciel antivirus est à jour. En outre, envisagez un outil de sécurité supplémentaire, comme Malwarebytes. Avant de demander, oui, Malwarebytes Premium vaut de l’argent.

Attaques de type «  homme du milieu  » en fonction de la compromission de vos communications. Si vous savez à quoi vous attendre et ce qu’il faut rechercher, vous avez beaucoup plus de chances d’éviter les attaques MITM. À leur tour, vos données resteront sécurisées et fermement à votre portée.